قدّمت شركة جوجل دعوى مدنية أمام محكمة الولايات المتحدة الجزئية للمنطقة الجنوبية لنيويورك ضد قراصنة مقيمين في الصين يُشتبه في أنهم يقودون منصة Phishing-as-a-Service (PhaaS) ضخمة باسم Lighthouse، استُخدمت لاستدراج أكثر من مليون ضحية في 120 دولة على الأقل.
وقالت الشركة إن مجموعة أدوات الـ PhaaS هذه تُستخدم في شن حملات تصيّد عبر الرسائل القصيرة (smishing) على نطاق صناعي، مستغلة علامات تجارية موثوقة مثل E-ZPass وUSPS لخداع الضحايا بنُصوص تدّعي وجود رسوم عابرة أو إشعارات تسليم طرود، ما يدفعهم للنقر على روابط سرقة بياناتهم المالية. وعلى الرغم من بساطة الحيلة التقنية، فإن الحجم الكبير للتشغيل سمح للعصابة بتحصيل أكثر من مليار دولار بصورة غير قانونية خلال السنوات الثلاث الماضية.
وقالت حليمة ديلاين برادو، المستشارة القانونية لدى جوجل: “يستغلون سمعة جوجل وعلامات تجارية أخرى بعرض شعاراتنا وخدماتنا على مواقع مزيفة”. وأضافت الشركة أنها وجدت ما لا يقل عن 107 قوالب مواقع تستخدم شعارات تسجيل دخول لجوجل مصممة لخداع المستخدمين.
إجراءات قانونية واستراتيجية تفكيك البنية التحتية
أوضحت جوجل أنها تلاحق بنية البنية التحتية القائمة وراء المنصة قانونيًا بموجب قوانين من بينها قانون المنظمات الفاسدة والمتأثرة بالابتزاز (RICO)، وقانون لانهم (Lanham Act) لحماية العلامات التجارية، وقانون الجرائم الحاسوبية والتجاوز (Computer Fraud and Abuse Act)، سعياً إلى تعطيل مصادر البنية التحتية التي تُشغِّل الحملة.
تعمل منصات PhaaS مثل Lighthouse، وDarcula، وLucid ضمن منظومة إجرامية مترابطة تنطلق معظم عملياتها من الصين، وتستغل قدرات الرسائل عبر منصات مثل Apple iMessage وميزات RCS في تطبيق Google Messages لإرسال آلاف رسائل smishing يوميًا إلى مستخدمين في الولايات المتحدة ودول أخرى، وتُستخدم هذه الأدوات من قبل شبكة تُعرف باسم Smishing Triad.
كيف تعمل Lighthouse وحجم الضرر الرقمي
أظهر تقرير نشرته شركة Netcraft في سبتمبر أن منصتي Lighthouse وLucid مرتبطتان بأكثر من 17,500 نطاق تصيّد تستهدف 316 علامة تجارية في 74 دولة. وتُسعّر قوالب التصيّد المرتبطة بـ Lighthouse بما يتراوح بين 88 دولارًا لأسبوع وحتى 1,588 دولارًا سنويًا للاشتراك.
وتقدر التحليلات أن عصابات smishing الصينية قد تكون استحوذت على تفاصيل ما بين 12.7 مليون و115 مليون بطاقة دفع في الولايات المتحدة وحدها خلال الفترة من يوليو 2023 حتى أكتوبر 2024. كما طورت بعض المجموعات أدوات مثل Ghost Tap لإضافة بيانات البطاقات المسروقة إلى محافظ الدفع الرقمية على هواتف iPhone وAndroid.
أفادت وحدة Unit 42 في شركة Palo Alto Networks مؤخرًا أن الجهات المسؤولة عن Smishing Triad استخدمت أكثر من 194,000 نطاق خبيث منذ 1 يناير 2024، مقلدة خدمات بنكية ومنصات تبادل عملات مشفرة وخدمات بريد وتسليم وهيئات حكومية وغيرها لإقناع الضحايا.
بيئة إجرامية متطورة وحاجات دفاعية ملحّة
وصفت تقارير أمنية حملة Lighthouse بأنها عشوائية في استهدافها لكنها تنمّ عن موارد فنية كبيرة لدى الجهة المنفذة، نظراً إلى قدرتها على توظيف ثغرات وطرق توزيع واسعة، واستخدام أدوات مخصصة تعمل بخفة لتفادي الكشف. كما أشار محللون إلى أن الترابط البنيوي بين منصات PhaaS يعكس اتجاهاً للتعاون والابتكار ضمن مشهد الجريمة الإلكترونية، مما يزيد تعقيد جهود الاستجابة والإنفاذ.
وتشدد التحليلات على ضرورة أن تقلل المنظمات من إمكانية الوصول إلى بوّابات الإدارة الحساسة وتطبّق سياسات دفاع متعددة الطبقات، إضافة إلى تقوية آليات رصد النطاقات المشبوهة وسرعة مشاركة المعلومات بين الشركات ومزودي الخدمات لقطع قنوات التمويل والتشغيل لهذه الشبكات.
